終端準入控制解決方案

面臨現狀

內部網絡中往往存在著大量的重要數據或機密信息，為了防止重要信息外泄，很多單位實施了內、外網物理隔離。即便如此，仍會有很多危險威脅著內網的安全，終端的非法接入行為即是內網重要數據流失和引入病毒的主要隱患之一。對于已經實施了物理隔離的內網而言，嚴格有效的網絡準入管理是最為重要的安全管理措施。

面臨問題

非法接入者常常通過仿冒網內合法計算機的IP和計算機名、與網內合法的任一設備或任一終端通過直連、私接路由的方式躲避網絡準入管理產品的監控，這些非法入網的途徑防不勝防，覬覦者時刻威脅著網絡的安全。

另一方面，由于單位的業務需求，對于入網的計算機不適合采用單一的管理方式，既要能夠防止非法入網，又應該允許一些合法的外來計算機臨時性入網，而且對這些合法入網的外來計算機也需要進行有效的管理，不能全網全盤開放，使其成為合法的入侵者。而對于網內新增的合法計算機或者合法的外來計算機，也不能隨意的任其入網，因為它很可能成為病毒的傳播者。因此，只有實施完整的管理和必要的檢查才能真正地保證網絡安全。

另外，根據企業需要，可能需要對入網的計算機安裝一些必要的軟件，例如管理軟件或殺毒軟件等。但隨著時間的推移，很難保證這些軟件都能夠正常被運行。重新部署，即浪費人力物力，又無法保證不會再次流失。

綜上所述，用戶面對的不是簡單的網絡準入管理產品品牌或技術層面的篩選，而是對解決方案實用性的評估和選擇。

解決方案

威盾終端準入管理解決方案是通過定義一個可信域，允許可信域內的計算機互相訪問，而禁止非可信域內的計算機與可信域內的計算機進行通訊，從而杜絕任何形式的非法入網，徹底防止非法計算機利用直插網線、仿冒內網合法計算機IP和計算機名、直連網內合法計算機、私接路由這些常見和難以管理的方式違規入網。

同時，對于外來合法入網的計算機，如廠家服務人員或各類外協人員攜帶的計算機，當其接入網絡時可同步實施嚴格的管理，有效限制其訪問的網絡范圍，既可保證外來計算機在限定的網絡空間內順利的完成工作，又可以防止其觸及網內高密級區，威脅敏感信息的安全。另外，對所有合法進入網絡的計算機在入網前將進行必要的安全檢查，確保每臺計算機都符合既定的安全規范，防止其成為病毒攜帶者威脅網絡安全和穩定。

威盾終端準入管理解決方案主要分為三方面：

終端合法檢查，檢查終端入網的合法性，比如：終端是否安裝了客戶端，終端的IP/MAC是否合法等。

終端合規檢查，檢查終端計算機環境是否符合規范要求，例如：終端是否安裝了指定的殺毒軟件，終端是否修復了操作系統補丁，不允許上網的終端是否上過網等。

終端權限管理，對合法、合規聯入的終端進行權限的管理控制，例如：聯入內網的終端不能外聯，聯入內網的終端只能訪問指定的服務器，聯入內網的終端只能使用與業務相關的應用程序等。

無客戶端準入管理

隨著企業的發展，越來越多的合作伙伴或者客戶需要接入到公司內網，但對于需要安裝客戶端的終端來說，這無疑給管理員和客戶都帶來的麻煩。威盾終端準入管理方案根據此類用戶需求，通過在LDAP服務器中配置臨時入網賬戶組，在此組下的終端才能以無客戶端形式的進入企業內網，選擇性的訪問部分網絡。這樣既能滿足客戶的臨時性需求，又能同時保證企業的內網安全。

無客戶端的終端在初次訪問網絡時，系統重定向到入網申請頁面。終端用戶提交入網申請后，等待管理審核，審核通過管理員將在臨時入網賬號組中分配終端申請人賬號。申請人通過分配的臨時入網賬號，通過網頁登錄時，可臨時訪問網絡。

VPN環境的準入管理

隨著企業的發展，需要分支機構，在外辦公人員、合作伙伴在互聯網環境下，通過VPN接入內網，但VPN只保證了通訊過程的安全性，對于入網的終端并沒有進行有效的管控，這就可能導致入網的終端給企業帶來安全威脅。威盾準入管理方案可以實現接入終端在撥號連接后跳轉到到radius服務器進行認證，認證通過后，再由radius服務器轉發VPN認證信息到VPN服務器完成認證。從而提升VPN接入環境下的終端準入管理。

CA準入認證管理

威盾終端準入管理可有效聯動第三方CA服務器，完成證書信息有效性的驗證，然后再將證書序列號取出，用LDAP用戶信息進行匹配，若匹配到用戶信息則CA證書被認為認證通過。可有效增加用戶的管理級別，提高管理顆粒度，使得管控涵蓋終端與使用人。

非終端類型設備的準入

企業的現實網絡當中，不可避免的存在打印機、刻錄機等設備，威盾終端準入管理方案能夠實現實現對打印機、掃描儀等非終端計算機設備的入網例外配置。提高網內設備的識別準確度，可讓企業管理員清楚的知道哪個是終端，哪個是打印等設備。避免管理盲點。

部署方式

產品能夠支持網橋，旁路，策略路由等多種部署模式，適應各種網絡環境和接入方式。

使用準入網關作為管理服務器，旁路連接在核心交換機上。負責終端集中管理。這樣不但能夠實現全面無漏洞的準入管理，同時能夠分擔準入管理壓力，使準入控制響應速度更快。

部署方案

準入網關應能夠將對每一個試圖進入網絡的終端準入控制，阻止非法終端訪問重要的業務服務器。采用瀏覽器重定向機制，當計算機接入網絡并訪問重要服務器時，準入網關會檢查其是否安裝了管理平臺客戶端軟件，若未安裝客戶端的計算機使用瀏覽器訪問網絡，將自動彈出友好的提醒網頁，指導用戶主動安裝客戶端并與管理員聯系獲得訪問授權，終端用戶安裝客戶端程序并獲得管理員的授權后，即可訪問服務器。

旁路模式部署優勢體現：

旁路模式部署起來比較靈活方便，只需要在交換機上面配置鏡像端口即可。不會影響現有的網絡結構。

旁路模式分析的是鏡像端口拷貝過來的數據，對原始傳遞的數據包不會造成延時，不會對網速造成任何影響。

旁路模式準入設備一旦故障或者停止運行，不會影響現有網絡。不會產生單點失敗的故障。

準入機制只分析數據包中特定的很小部分，即可判斷終端合法性進行分析，不會造成網絡擁堵，既準入設備不會成為網絡瓶頸。

準入機制對多VLAN、VPN、NAT等各種復雜的網絡環境都有完整的支持和管控。

方案優勢

無需網絡設備支持，適用于任何類型網絡；

無需修改任何網絡配置，不受防火墻限制；

有效控制仿冒合法IP和計算機名入網；

有效控制與網內計算機直連入網；

有效控制私接路由入網；

針對跨互聯網連接的窄帶網絡提供小于300K的客戶端，下載安裝更快。